اگر از برنامه ویدیو کنفرانس Zoom در سیستم عامل Mac استفاده میکنید بهتر است حواستان باشد چون هر وبسایتی  که شما در مرورگر وب خود بازدید میکنید میتواند دوربین دستگاه شما را بدون اجازه شما روشن کند.

در واقع اگر یک زمانی شما برنامه Zoom را روی سیستم حود نصب کرده بودید وبعد آنرا پاک کردید،باز هم یک هکر از راه دور میتواند  webcamدستگاه شما را فعال کند.

Zoom یکی از محبوب ترین پلتفرم های مبتنی بر cloud است که قابلیت هایی برای اشتراک گذاری ویدیو،صدا وصفحه نمایش به کاربران میدهد وبه منظور برگزاری webinar, کلاس های درس آنلاین ویا ملاقات ها وجلسات مجازی از آن استفاده میشود.

در گزارشی که از Jonathan Leitschuh یک کارشناس امنیت سایبری منتشر شده جزئیات یک آسیب پذیری جدی پچ نشده در برنامه Zoom توضیح داده شده که در صورت تلفیق با یک حفره امنیتی مجزا میتواند به هکرها این امکان را بدهد که روی سیستم های نشان گذاری شده کد arbitrary اجرا کنند.

این فرد ۹۰ روز پیش این تهدید را یه شرکت مربوطه اطلاع داده بود ولی تیم Zoom موفق نشدند که یک پچ امنیتی مناسب را برای این آسیب پذیری ارائه دهند وبدین ترتیب حریم شخصی وامنیت بیش از ۴ میلیون کاربر خود را در معرض خطر قرار داده اند.

آسیب پذیری از قابلیت click-to-join استفاده میکند که به این منظور طراحی شده تا بطور اتوماتیک برنامه Zoomنصب شده روی سیستم را فعال کند و شرکت کنندگان می توانند به سرعت از طریق مرورگر وب خودبه محض کلیک روی لینک دعوت به یک جلسه ویدیویی ملحق شوند.

مشخص شده به منظور ارائه این قابلیت برنامه Zoom یک local server روی سیستم روی پورت ۱۹۴۲۱ اجرا میکند که بطور نا امنی دستورات را از طریق پارامتر های HTTPS GET دریافت میکند وهر وبسایتی روی مرورگری که باز است میتواند با آن ارتباط داشته باشد.

به منظور exploit کردن این آسیب پذیری هکر باید از طریق اکانت خودش در Zoom یک لینک دعوت بسازد وآنرا به شکل یک image tagبه یک دیگر مرتبط کند وکاربر را متقاعد کند که این وبسایت را بازدید کند.

به محض اینکه کاربر Mac که Zoom client را روی سیستم نصب شده دارد سایت آلوده را بازدید میکند،برنامه Zoom باز میشود وwebcamفعال میشود.

این امر میتواند در تبلیغ های آلوده ویا در غالب یک عملیات phishing محقق شود.فقط با پاک کردن برنامه از روی سیستم  نمیتوان از شر این مشکل خلاص شد چون قابلیت click-to-join دستوری را میپذیرد که بطور خودکاردوباره Zoom را بدون اجازه کاربر نصب میکند.

علاوه بر فعال کردن وب کم این آسیب پذیری میتواند به منظور اجرای حمله DoS روی کامپیوتر Macمورد هدف نیز به کار گرفته شود این کار با فرستادن تعداد بسیار زیادی درخواست های GETتکراری  به local server میتواند انجام شود.تنها کاری که تیم Zoom انجام داده این است که از فعال شدن وب کم جلوگیری کرده.این آسیب پذیری آخرین نسخه ۴.۴.۴ برنامه Zoom برای Mac را نهدید میکند.

علاوه بر تیم Zoom این آسیب پذیری به تیم های Chrome و Mozilla هم اطلاع داده شده ولی از آنجایی که این مشکل در واقع مربوط به این مرورگر ها نمی باشد آنها کاری نمی توانند انجام دهند.البته کاربران میتوانند با غیر فعال کردن تنظیمات مربوط به روشن شدن خودکار وب کم تا حدی جلوی این تهدید را بگیرند.برای این کار به منوی Zoom settingبروید وگزینه Turn off my video when joining a meeting را فعال کنید.